Considerado uno de los repositorios más seguros del mundo, Maven Central ha sido comprometido por una campaña de malware que utiliza técnicas de “Typosquatting” de alto nivel para engañar a desarrolladores Java y desplegar Cobalt Strike.
El mundo del desarrollo en Java ha recibido un golpe a su confianza. Investigadores de seguridad han descubierto una infiltración exitosa en Maven Central, el repositorio de artefactos más importante del ecosistema Java. A diferencia de npm o PyPI, donde el malware es moneda corriente, Maven Central es conocido por sus estrictos requisitos de publicación (firmas PGP, validación de dominio), lo que hace este incidente excepcionalmente grave.
El Engaño: com vs org
El ataque se centró en suplantar a Jackson, la librería estándar de facto para procesar JSON en Java.
- La Librería Real: Opera bajo el espacio de nombres com.fasterxml.jackson.core.
- La Falsificación: Los atacantes publicaron un paquete bajo org.fasterxml.jackson.core.
La diferencia es sutil pero devastadora. Para lograr esto, los atacantes registraron el dominio fasterxml.org (el real es .com) el 17 de diciembre de 2025 y pasaron las verificaciones de dominio de Maven Central, legitimando así su paquete malicioso ante los ojos del sistema.
Ejecución Automática en Spring Boot
Lo más alarmante es cómo se activa el malware. No requiere que el desarrollador escriba código específico; simplemente con añadir la dependencia al archivo pom.xml, el ataque comienza.
- Auto-Configuración: El paquete malicioso incluye una clase JacksonSpringAutoConfiguration.
- Spring Boot: Al iniciarse la aplicación, el framework Spring escanea automáticamente las clases de configuración. Al encontrar la maliciosa, la ejecuta inmediatamente.
- Persistencia: El malware busca un archivo oculto .idea.pid (camuflándose como un archivo de proyecto de IntelliJ) para evitar re-infecciones y asegurar persistencia.
La Carga Útil: Cobalt Strike
Una vez activo, el código malicioso:
- Huella Digital: Verifica si el sistema operativo es Windows, macOS o Linux.
- Conexión C2: Contacta al dominio m.fasterxml.org para descargar una configuración cifrada con AES.
- Descarga: Baja un ejecutable binario (svchosts.exe en Windows, imitando al proceso legítimo svchost.exe).
El análisis ha confirmado que estos binarios son Beacons de Cobalt Strike, una herramienta de post-explotación utilizada frecuentemente por grupos de ransomware para moverse lateralmente por la red, robar credenciales y exfiltrar datos.
Recomendaciones
Aunque el paquete fue eliminado 1.5 horas después de ser reportado, cualquier proyecto que haya descargado la dependencia en esa ventana de tiempo está comprometido.
- Auditoría de pom.xml: Verifica estrictamente los groupId de tus dependencias. Asegúrate de estar usando com.fasterxml… y no org.fasterxml….
- Limpieza de Caché: Borra tu caché local de Maven (.m2/repository) para eliminar cualquier artefacto envenenado que pudiera haber quedado almacenado.
- Escaneo de Red: Busca tráfico saliente hacia el dominio fasterxml.org o conexiones inusuales en los puertos asociados a Cobalt Strike.
